Empfehlung von MS bzgl. Ordnerstruktur

[dr_omen 10]

Hallo zusammen

 

Gibt es eine Empfehlung seitens MS für eine Ordnerstruktur einer Organisation? Vorzugshalber würde ich gerne auf kaskadierte Berechtigungen auf den Ordner verzichten, aber je nachdem was MS empfiehlt.

 

tschüss

 

Omen

[varnik 10]

Hallo,

 

woher sollte Microsoft die Ordner-Bedürfnisse aller Firmen wissen. Jeder sollte die Ordner-Struktur selber organisieren können.

[Hirgelzwift 10]

ich kann dir meine best practice erzählen in bezug auf gruppenlaufwerke:

 

erzeuge eine gemeinsame freigabe und verbinde diese mit jedem user z.B. als G: laufwerk

 

erzeuge in diesem G: laufwerk für jede abteilung einen ordner. erzeuge für jeden ordner eine windows gruppe und gebe dieser gruppe auf ihrem verzeichniss rechte ändern. wenn es ordner gibt auf denen z.b. andere abteilungen lese rechte baruchen erzeuge eine zweite gruppen mit nur leserechten und lege diesen auch auf den ordner.

 

sehr oft ist es hilfreich noch einen ordner "transfer" zu haben auf den alle schreiberechte haben. da können dann transfer dateien zwischengespeichert werden. mache aber deine leute darauf aufmerksam das da jeder hin kann. für hoch sensible daten wirst du dann noch einen anderen ordner für den transfer benötigen. mache aber auch deine leute darauf aufmerksam das du dir das recht vorbehältst sämtlich dateien im transfer verzeichniss zu löschen, für den fall das die dir den ordner zumüllen.

[dr_omen 10]

Erwischt. Genau das ist das Problem das ich ansprechen möchte :) Die Struktur eines AD baut man in der Regel anhand der Organisation der Firma auf, nicht aber unbedingt die Ordnerstruktur auf dem bsp. Fileserver. Dies kann bsp. so aussehen. Wir haben einen Haupordner der den Firmennamen trägt "MusterAG" direkt darunter werden nun sämtliche zu administierende Subfolders erstellt. Auf eine Struktur oder Hierarchie der Ordner wird dabei verzichtet. Vorteil, falls sich bsp. das Marketing plötzlich an einem anderen Teil der Hierarchie befindet, spielt das für die Ordner resp. das Berechtigungskonzept keine Rolle.

 

Ein weiterer Vorteil könnte auch sein, wenn die Sekretärin die vom Chef A interim für die Sekr. vom Chef B einspringen muss, dabei aber nur auf einen Ordner "Vorlagen" schauen darf. Damit sie nun nicht durch die gesamte Hierarchie berechtigt werden muss, genügt es die Sekr. auf den Ordner "Vorlagen" vom Chef B zu berechtigen. Kurz gesagt keine kaskadierten Berechtigungen.

 

Vielleicht bisschen wirr geschrieben, aber ich hoffe trotzdem, dass du meine Überlegung verstanden hast. Persönlich bin ich der Überzeugung, dass sich dies bewähren wird, aber ich würde trotzdem gerne wissen, was die Vorgabe von MS ist. :)

 

tschüss

 

Omen

[dr_omen 10]

@Hirgelzwift

Also meine Rollenmodell sieht folgendermassen aus:

 

Benutzer ist Member der Global Group "sG_Org_Marketing". Die Global Group wird Member von der Domain local Group "sL_Fil_Marketing_R" und "sL_Fil_Marketing_C". Die Global Group kann natürlich auch auf andere Local Groups gesetzt werden, je nach Rolle eines Marketingmitarbeiters. Sollte also ein neuer MA in der Firma eingestellt werden, so muss ich den MA nur in die Global Group "sG_Org_Marketing" rein addieren und er hat so gleich alle Zugriffe die er benötigt.

 

tschüss

 

Omen

[Gadget 37]

Hi,

 

@Hirgelzwift

 

erzeuge in diesem G: laufwerk für jede abteilung einen ordner. erzeuge für jeden ordner eine windows gruppe und gebe dieser gruppe auf ihrem verzeichniss rechte ändern. wenn es ordner gibt auf denen z.b. andere abteilungen lese rechte baruchen erzeuge eine zweite gruppen mit nur leserechten und lege diesen auch auf den ordner.

 

grundsätzlich stimme ich dem schon zu nur hast du eine wichtige Sache nicht erwähnt, mit den Standardberechtigungen kommst du meistens nicht weit, da nach deiner Beschreibng die User auch den Abteilungsordner umbennen bzw. im schlimmsten Fall sogar löschen könnten.

 

Deswegen muss mit erweiterten Rechten gearbeitet werden ich habe das z.B. so gelöst:

\\fileserver\daten (Lesen+Ausführen) => nur dieser Ordner

\\fileserver\daten\Abteilung

1.(Lesen+Ausführen, Dateien erstellen/ Daten schreiben, Ordner erstellen/Daten anhängen) => nur dieser Ordner

2. (Ändern) => nur Unterordner u. Dateien

 

LG Gadget

[Hirgelzwift 10]

du hast recht kohn ich habe mich nicht sauber ausgedrückt. es hätte heissen müssen in ihrem verzeichniss. auf dem verzeichniss haben sie natürlich nur lesen ;)

 

@dr_omen: äääähhh, ja, wenn ich dich richtig verstanden habe. man bildet alles in ordner ab und nur auf der obersten ebenen. drunter sollen die machen was sie wollen und es werden für berechtigungen nur gruppen verwendent und es werden auf unterordner keine untergeordneten berechtigungen gesetzt.

[dr_omen 10]

@Kohn

Wenn ich dich recht verstanden haben, dann hast du bei dir 2 Ebenen. Ich würde aber gerne nur eine Ebene haben.

 

Beispiel:

\\Fileserver\Ordner1

Ordner2

Ordner3

Ordner4

Ordner5

etc.

 

Damit aber der Benutzer nicht 200 Ordner vor die Nase geknallt bekommt, gibt es anscheinend eine Möglichkeit, nur die für ihn erlaubten Ordner anzeigen zu lassen. Wie genau das geht, weiss ich leider noch nicht, bin aber am pröbeln :)

 

tschhüss

 

Omen

[traced82 10]

Vielleicht hilft Euch das weiter:

http://www.microsoft.com/downloads/details.aspx?FamilyID=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en

 

Damit sind für den User nur Freigaben sichtbar, auf die er auch Zugriff hat!

 

vg

Basti

[sven1810 10]

Die Windows Server 2003 Access-based Enumeration funktioniert sehr gut nur muss man bedenken das es erst ab windows 2003 Server SP1 funktioniert.

 

Gruß

 

Sven